返回
系统访问控制与审计技术

系统访问控制与审计技术

ID:21652363

大小:201.00 KB

页数:32页

时间:2018-10-20

系统访问控制与审计技术_第1页
系统访问控制与审计技术_第2页
系统访问控制与审计技术_第3页
系统访问控制与审计技术_第4页
系统访问控制与审计技术_第5页
资源描述:

《系统访问控制与审计技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第11章系统访问控制与审计技术本章学习目标:了解几种基本的访问控制技术熟悉常用操作系统的安全技术了解操作系统的审计技术11.1访问控制技术访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。访问控制也是信息安全理论基础的重要组成部分。本章讲述访问控制的原理、作用、分类和研究前沿,重点介绍较典型的自主访问控制、强制访问控制和基于角色的访问控制。11.1.1访问控制技术的概念11.1访问控制技术访问控制与其他安全措施之间的关系可以用图11-1来简要说明。在用户身份认证(如果必要)和授权之后,访问控制机制将根据预先设定的规则对用户

2、访问某项资源(目标)进行控制,只有规则允许时才能访问,违反预定的安全规则的访问行为将被拒绝。资源可以是信息资源、处理资源、通信资源或者物理资源,访问方式可以是获取信息、修改信息或者完成某种功能,一般情况可以理解为读、写或者执行。11.1.2访问控制原理11.1访问控制技术11.1.2访问控制原理访问控制的目的是为了限制访问主体对访问客体的访问权限,从而使计算机系统在合法范围内使用;它决定用户能做什么,也决定代表一定用户身份的进程能做什么。访问控制一般包括三种类型:自主访问控制、强制访问控制和基于角色的访问控制。11.1访问控制技术11.1.2

3、访问控制原理自主访问控制(DiscretionaryAccessControl,DAC)是一种常用的访问控制方式,它基于对主体或主体所属的主体组的识别来限制对客体的访问,这种控制是自主的。自主是指主体能够自主的(可能是间接的)将访问权或访问权的某个子集授予其他主体。1.自主访问控制自主访问控制是一种比较宽松的访问控制,一个主体的访问权限具有传递性。传递可能会给系统带来安全隐患,某个主体通过继承其他主体的权限而得到了它本身不应具有的访问权限,就可能破坏系统的安全性。这是自主访问控制方式的缺点。为了实现完整的自主访问系统,访问控制一般由一个矩阵来

4、表示。矩阵中的一行表示一个主体的所有权限;一列则是关于一个客体的所有权限;矩阵中的元素是该元素所在行对应的主体对该元素所在列对应的客体的访问权限。具体实现时,往往是基于矩阵的行或者列来表达访问控制信息。11.1访问控制技术11.1.2访问控制原理访问控制表(AccessControlList,ACL)是基于访问控制矩阵中列的自主访问控制。1.自主访问控制(续)(1)访问控制表对系统中一个需要保护的客体Oj附加的访问控制表的结构如下图所示在上图的例子中,对于客体Oj,主体S0具有读(r)和执行(e)的权利;主体S1只有读的权利;主体S2只有执行

5、的权利;主体Sm具有读、写(w)和执行的权利。11.1访问控制技术11.1.2访问控制原理1.自主访问控制(续)(2)访问能力表访问能力表(AccessCapabilitiesList)是最常用的基于行的自主访问控制。能力(capability)是为主体提供的、对客体具有特定访问权限的不可伪造的标志,它决定主体是否可以访问客体以及以什么方式访问客体。主体可以将能力转移给为自己工作的进程,在进程运行期间,还可以添加或者修改能力。能力的转移不受任何策略的限制,所以对于一个特定的客体,不能确定所有有权访问它的主体。因此,访问能力表不能实现完备的自主

6、访问控制,而访问控制表是可以实现的。11.1访问控制技术11.1.2访问控制原理2.强制访问控制强制访问控制系统为所有的主体和客体指定安全级别,比如绝密级、机密级、秘密级和无密级。不同级别标记了不同重要程度和能力的实体。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。在强制访问控制机制中,将安全级别进行排序,如按照从高到低排列,规定高级别可以单向访问低级别,也可以规定低级别可以单向访问高级别。这种访问可以是读,也可以是写或修改。1)保障信息完整性策略。2)保障信息机密性策略。自主访问控制较弱,而强制访问控制又太强,会给用户带来

7、许多不便。因此,实际应用中,往往将自主访问控制和强制访问控制结合在一起使用。自主访问控制作为基础的、常用的控制手段;强制访问控制作为增强的、更加严格的控制手段。11.1访问控制技术11.1.2访问控制原理3.基于角色的访问控制基于角色的访问控制模式(RoleBasedAccessControl,RBAC)中,用户不是自始至终以同样的注册身份和权限访问系统,而是以一定的角色访问,不同的角色被赋予不同的访问权限,系统的访问控制机制只看到角色,而看不到用户。用户在访问系统前,经过角色认证而充当相应的角色。用户获得特定角色后,系统依然可以按照自主访问

8、控制或强制访问控制机制控制角色的访问能力。(1)角色的概念在基于角色的访问控制中,角色(role)定义为与一个特定活动相关联的一组动作和责任。系统中的主体担任角色,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。